【讨论】Ansible登录凭证的选择:是预分发公钥免密登录,还是使用用户名+口令?

最新推荐文章于 2022-03-01 11:20:03 发布
最新推荐文章于 2022-03-01 11:20:03 发布
阅读量338 收藏
点赞数
分类专栏: Ansible 文章标签: Ansible
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/avenger19/article/details/92759814
版权

本文将从安全性、便捷性和可维护性三个方面探讨Ansible登录凭证的选择问题:

  1. 安全性
  • 预分发公钥到目标服务器

优点和缺点都是一样的,即目标环境的安全性取决于ansible所在宿主机的安全性。宿主机一旦被攻破,则全环境都沦陷。但假设我们可以保证宿主机的安全,则目标环境的口令设置上就可以有相当高的自由度,甚至可以完全随机获得极高强度的口令,而不用考虑口令记录和存储的问题。宿主机的安全加固目标小,也容易得多。

  • 使用用户名+口令ssh登录

必须有地方存储目标环境的登录信息,且口令须明文存储或传输。这个存储媒介可以是文件,可以是数据库,也可以是第三方的某个服务。 这种方法缺点与预分发公钥是一样的,如果口令存储媒介泄露或被攻破,或被通过监听网络通讯窃取,整个目标环境离被攻破就仅差一步了:找到并攻破一台与目标环境连通的主机。这种方法并没有预分发公钥的优点:如果攻击者获得了明文口令,则可以通过任何一台与目标环境连通的主机登录目标环境。当然,我们可以通过其他手段来进行安全加固,例如在口令传输过程中加密,甚至一次一密的传输,不过这样做的代价显得略高。

安全性上,预分发公钥方案胜出

  1. 便捷性
  • 预分发公钥到目标服务器
    在使用前需要有分发公钥的步骤
  • 使用用户名+口令ssh登录
    无需额外的操作,但需要在ansible宿主机上安装sshpass(很简单)

便捷性上,用户名+口令方案胜出

  1. 可维护性
  • 预分发公钥到目标服务器
    只要ansible宿主机不重新生成密钥对,目标主机不删除已分发的秘钥,则无需额外的维护步骤
  • 使用用户名+口令ssh登录
    考虑到可能的口令变更,本方案需要额外的维护成本。一旦登录口令被(环境使用方而非管理方)修改,则原有的凭证失效

可维护性上, 尤其是目标环境达到一定规模之后,预分发公钥可维护性上的优势是十分明显的,预分发公钥方案胜出

从以上三点出发几经考虑,我还是选择了预分发公钥的方案。

前提是我的工作场景有着对目标环境规范的、完备的、覆盖全生命周期的管理体系,即使是从便捷性考虑,预分发秘钥无非是在目标环境部署时增加一小段代码,并不复杂。所以在我们的应用场景中,第二点上预分发秘钥方案的劣势并不突出。至于到每个人具体的方案选择上,还是要根据实际工作环境情况去考量。

三苦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ansible-swapfile:使用Ansible创建和配置交换文件
01-31
ansible-swapfile:使用Ansible创建和配置交换文件
Ansible批量推送主机至其他服务器
DevOps海洋的渔夫@专栏
11-23 654
实战ansible 前言 本次实战目的: 批量配置几百台服务器的 使用ansible对服务器集群批量处理执行命令 ansible管理拓扑图 工作场景 如果手工一台台去配置服务器的话,数量少人力还可以完成。但是如果达到数百台至上千台,人工是无法处理过来的,效率也低下。 那么下面用两台centos7的虚拟机来模拟执行场景。 模...
ansible -01-2 批量分发
weixin_34376562的博客
05-23 235
2019独角兽企业重金招聘Python工程师标准>>> ...
ansible登入凭证选择
weike_1005的博客
03-01 145
从安全性、便捷性和可维护性三个方面分析Ansible登录凭证选择问题: 1、安全性 分发到目标服务器 优点和缺点都是一样的,即目标环境的安全性取决于ansible所在宿主机的安全性。宿主机一旦被攻破,则全环境都沦陷。但假设我们可以保证宿主机的安全,则目标环境的口令设置上就可以有相当高的自由度,甚至可以完全随机获得极高强度的口令,而不用考虑口令记录和存储的问题。宿主机的安全加固目标小,也容易得多。 使用用户名+口令ssh登录 必须有地方存储目标环境的登录信息,且口令须明文存储或传输。这个存储媒介可以是
ansible生成,ssh客户机登录
llj13258438698的博客
11-27 1605
环境 192.168.182.142(ansible主机) 192.168.182.143(客户机) ①在192.168.182.142主机上生成 1,生成 查看ls /root/.ssh/是否有秘 有的话rm -rf /root/.ssh/* 最好删除之前备份。 生成命令:ssh-keygen -t rsa 注:在生成这个秘时候可以取新的名字,但是一般默认不用自定义名字 ②...
ansible-lxc-ssh:使用ssh + lxc-attach的Ansible连接插件
01-31
ansible-lxc-ssh 使用ssh + lxc-attach的Ansible连接插件描述此插件允许在托管LXC容器的远程服务器上使用Ansible,而不必在每个LXC容器中安装SSH服务器。 插件使用SSH连接到主机,然后使用lxc或lxc-attach进入容器。...
使用Jenkins+Ansible实现自动化部署Nginx
01-27
本文介绍如何使用Jenkins+Ansible实现对Nginx 的自动化部署。最终达到的效果有如下几点: 只要你将Nginx的配置推送到GitHub中,Jenkins就会自动执行部署,然后目标服务器的 Nginx配置自动生效。这个过程是幂等...
ansible-user:为基于SSH登录名和无码sudo创建和配置用户
01-31
ansible-user:为基于SSH登录名和无码sudo创建和配置用户
Ansible开发实战:加入Task执行过程超时机制
三苦庵笔记
11-11 5883
(本文基于Ansible 2.7) 在使用ansible执行运维作业的过程中经常会遇到某些目标服务器由于种种五花八门的原因失去响应,尤其是在作业在远端主机执行过程中失去响应的情况,由于本地的子进程无法收到运行结果,可能卡上几天都不退出。例如我们曾经遇到过的,需要在大约15000+虚拟机上执行批量任务,其中两台虚拟机在建立ssh连接时还正常,但随后内存耗尽,远端任务失去响应,这个批量作业最后只能通过...
Ansible API: 动态清单(Inventory)的使用
三苦庵笔记
11-14 5657
Ansible官方文档提供的示例如下: #!/usr/bin/env python import json import shutil from collections import namedtuple from ansible.parsing.dataloader import DataLoader from ansible.vars.manager import VariableManag...
解决Ansible远程执行无法加载环境变量的问题
三苦庵笔记
03-14 3573
在18年冬天的一篇关于编些Action Plugin的文章中讨论过关于Ansible远程执行无法加载环境变量的问题(Ansible开发实战: 基于command模块的Oracle Listener控制模块(附趟雷过程及样例))其中引用了 huangwjwork的一篇文章关于ansible远程执行的环境变量问题(login shell & nonlogin shelll)。这篇文章讨论了lo...
Ansible 源码解析:forks并发机制的实现
三苦庵笔记
04-11 3391
(本文基于Ansible 2.7) forks选项是Ansible原生支持的一种支持并发执行的方式,可以通过配置文件指定默认值,可以在运行ansible时指定,也可以在调用ansble API做开发时赋值。 forks选项的接收和处理在lib/ansible/cli/__init__.py 的442-444行: if fork_opts: parser.ad...
Ansible开发实战: 基于command模块的Oracle Listener控制模块(附趟雷过程及样例)
三苦庵笔记
11-29 3152
在进行Ansible模块开发的过程中我们可能会遇到这样的问题,比如我们要开发一个(批)控制Oracle的模块,除去sql相关的功能有cx_Oracle为我们提供驱动之外,像rman,listener,crsctl,srvctl等等功能的实现,还是需要通过shell。但从功能上来划分,它们又是跟oracle数据库关系十分紧的。所以我们提出这样的需求(以listener的控制为例):要写新的,单独的...
使用Ansible管理Windows:WMF安装、WinRM配置说明及Ansible调用举例
三苦庵笔记
02-14 2540
环境准备 Ansible通过WinRM(Windows Remote Management)和PowerShell管理Windows服务器: WinRM is a management protocol used by Windows to remotely communicate with another server. It is a SOAP-based protocol that com...
Ansible 性能优化(二):调整DEFAULT_INTERNAL_POLL_INTERVAL参数,降低结果处理轮询的频率
三苦庵笔记
11-01 2347
(本文基于Ansible 2.7) 在base.yml中对DEFAULT_INTERNAL_POLL_INTERVAL参数是如下定义的: DEFAULT_INTERNAL_POLL_INTERVAL: name: Internal poll interval default: 0.001 env: [] ini: - {key: internal_poll_interval, ...
Ansible 源码解析:动态清单(Inventory)中添加Host不能被all分组识别的问题分析
三苦庵笔记
06-18 1984
(本文基于Ansible 2.7) 在Ansible API: 动态清单(Inventory)的使用一文中,我们讨论了纯动态清单的使用,其中提到,简单的添加Host到Inventory中,这些Host并不能通过在playsource中指定hosts=‘all’取到 #假设我们有一个IP地址的列表(这个列表可以通过合适的其他服务获得,或者从数据库直接查询) host_list = ['192.16...
Ansible源码解析: Failed to change ownership of the temporary files错误
三苦庵笔记
07-13 1969
[本文基于Ansible 2.7] 设置切换用户执行后,某任务报出以下错误: Failed to change ownership of the temporary files Ansible needs to create despite connecting as a privileged user. Unprivileged become user would be unable to read the file. 看起来是说无法修改远程临时目录的属主。直接在源码中搜索错误信息,找到如下代码: an
Ansible 源码解析: Ansible的运行过程
三苦庵笔记
04-11 1925
(本文基于Ansible 2.7) Ansible的程序入口在bin目录下,此目录下共有 ansible ansible-config ansible-connection ansible-console ansible-doc ansible-galaxy ansible-inventory ansible-playbook ansible-pull ansible-test ansible-...
ansible配置登录
最新发布
03-05
2. 分发到远程服务器:将生成的分发到所有需要配置登录的远程服务器上。可以使用`ssh-copy-id`命令将复制到远程服务器的`~/.ssh/authorized_keys`文件中。 3. 验证登录使用`ssh`命令验证是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值